zagadnienia prawne
Transkrypt
zagadnienia prawne
„Bezpieczeństwo danych osobowych w usługach w chmurze zagadnienia prawne” Warszawa, dnia 1 marca 2016 r. Maria Markiewicz radca prawny Podstawowe akty prawne ● Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) ● Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych ● Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dyrektywa) ● Decyzje Komisji Europejskiej ● Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną ● Regulacje sektorowe Podstawowe pojęcia ● dane osobowe – informacje dot. zidentyfikowanej lub możliwej do zidentyfikowania osoby pozwalające na określenie tożsamości tej osoby (bezpośrednie lub pośrednie) pozostałe dane – mogą być chronione np. tajemnica przedsiębiorstwa ● administrator danych osobowych (możliwe inne konfiguracje) – użytkownik osoba fizyczna lub prawna, władza publiczna, agencja, lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania (Dyrektywa) organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych (UODO) Podstawowe pojęcia c.d. ● przetwarzający – dostawca usługi osoba fizyczna lub prawna, władza publiczna, agencja, lub inny organ, który samodzielnie lub wspólnie z innymi osobami przetwarza dane osobowe w imieniu administratora (Dyrektywa) podmiot, któremu powierzono przetwarzanie danych w drodze umowy zawartej na piśmie (UODO) ● podpowierzenie danych – możliwe po spełnieniu określonych warunków Stosowanie prawa polskiego ● administrator danych ma siedzibę na terytorium Polski lub prowadzi stałą i wyodrębnioną działalność na terenie Polski ● administrator danych ma siedzibę poza EOG, ale wykorzystuje do przetwarzania danych osobowych środki techniczne znajdujące się na terytorium Polski (o ile środki te nie służą wyłącznie do przekazywania danych osobowych) Zagrożenia dla ochrony danych osobowych w chmurze ● brak kontroli ● brak przejrzystości ● przekazywanie danych do państw trzecich poza EOG ● brak systemowej regulacji prawnej dot. transferu danych do USA Przekazywanie danych do Stanów Zjednoczonych ● 6 października 2015 TSUE stwierdził nieważność decyzji Komisji Europejskiej 2000/520/WE z 26 lipca 2000, na mocy której podmioty amerykańskie, które przystąpiły do programu „Safe Harbor”, były traktowane jako zapewniające adekwatny poziom ochrony danych osobowych w rozumieniu przepisów europejskich ● okres karencji egzekwowania 31 stycznia 2016 wyroku TSUE minął ● podmioty muszą „na nowo” zapewnić odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw wolności osoby, której dane dotyczą GIODO zyskał kompetencje do weryfikacji przekazywania danych do państw trzecich ● zakazywanie przekazywania danych ● sankcja finansowa po wejściu w życie Rozporządzenia o ochronie danych osobowych Ogólne rozporządzenie o ochronie danych ● 17 grudnia 2015 r. Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych zajęła stanowisko względem tekstu uzgodnionego trójstronnie między Radą, Parlamentem Europejskim i Komisją ● 18 grudnia 2015 r. tekst ten został zaaprobowany przez Komitet Stałych Przedstawicieli ● uzgodniony akt zostanie teraz przedłożony Radzie i następnie trafi do Parlamentu do zatwierdzenia ● Rozporządzenie wejdzie w życie najprawdopodobniej wiosną 2016 r. i zacznie obowiązywać wiosną 2018 r. Zakres zastosowania ● administratorzy zarejestrowani w UE niezależnie od tego, czy dane przetwarzane są w granicach czy poza granicami UE ● administratorzy zarejestrowani poza UE, o ile: ● przetwarzane są dane mających siedzibę w UE osobowe podmiotów ● przetwarzanie danych wiąże się z oferowaniem towarów lub usług podmiotom w UE lub też z monitorowaniem ich zachowań Prawa podmiotu danych ● podmiot danych może w uzasadnionych przypadkach domagać się wymazania jego danych osobowych i wnosić o wstrzymanie dalszego rozpowszechniania jego danych ● obowiązek administratora, który podał dane osobowe podmiotu do wiadomości publicznej do poinformowania osób trzecich o wniosku: ● dot. usunięcia wszelkich linków ● dot. usunięcia wszelkich kopii lub replikacji tych danych Prawo do przenoszenia danych ● prawo do uzyskania od administratora kopii swoich danych w powszechnie używanym formacie elektronicznym ● administrator nie przenoszeniu danych może zapobiegać Zasada „mechanizmu kompleksowej obsługi” organ nadzoru, w państwie, w którym znajduje się główna siedziba administratora/podmiotu przetwarzającego dane zyskuje kompetencje również w pozostałych państwach, w których działa ten administrator/przetwarzający dane (oddziały w innych państwach członkowskich) Sankcje ● sankcje administracyjne ● skuteczna, proporcjonalna i odstraszająca ● grzywna (umyślność lub lekkomyślność) do 20 000 000 EUR lub 4% całkowitego rocznego obrotu ● kary państwa członkowskie ustanawiają kary oraz przyjmują wszystkie niezbędne środki do zapewnienia ich wykonania Nowość – kary administracyjne nakłada krajowy organ ochrony danych Dziękuję Maria Markiewicz [email protected] Kancelaria Radców Prawnych Kalinowski Wojciński Korzybski Sp. j. ul. Elektoralna 11 lok. 8 00-137 Warszawa tel. (22) 652 31 15 fax (22) 620 12 42